Netzwerkdrucker aus Subnetz heraus ansprechen

[the other]

Moinsen, da geb ich dir aus meiner laienhaften Erfahrung recht.
Als Trost, bzw Hoffnungsschimmer: hab hier das alte netzunfähige canon Multifunktionsgerät (scanner/drucken) an den raspi gepackt, remote scannen und drucken geht. Aber das scannen vom Gerät per Knopfdruck an clients nicht. Könnte natürlich noch nachgerüstet werden, aber so selten, wie ich das Teil dafür nutze... Da gehe ich eben auch Treppen für, hilft wenigstens fit zu bleiben.
Das Ding hängt in einem eigenen vlan, Zugriff von den anderen Vlans aus je nach regelwerk sofort möglich. Für hobbykeller Ansprüche genügts....

 

[Tommes]

Hättest Du den Drucker in ein eigenes VLAN hinter der pfSense gepackt...

Ich habe hier bereits auf einem Cisco 350-10 Switch meine ersten Gehversuche bezüglich VLAN getätigt. Da die WebGUI des Cisco's aber sowas von grottig schlecht ist und ich erstmal mit den Funktionen der pfSense klar kommen musste, habe ich das Thema VLAN's erstmal zurückgestellt. Sobald mein "neues" Netzwerk aber stabil läuft, werde ich das nochmal in Angriff nehmen, wobei... das auch nur reiner Spieltrieb ist.

Wenn Dir aber erstmal mit der Lösung Drucker-ins-LAN geholfen ist, auch gut.

Ja, das tut es durchaus. Ich wollte halt nur herausfinden und verstehen, warum das nicht funktioniert, aber mein Horizont ist wohl zu beschränkt um die Zusammenhänge zu erkennen. Ich bin halt ein Anwender mit gefährlichen Halbwissen. ????

Am Ende muss das alles für mich verständlich, nachvollziebar und sicher sein. Und je höher der Aufwand, bzw. komplizierter das Setup ist um so mehr Fehler schleichen sich ein und um so schwieriger wird es am Ende, den Überblick zu behalten. Ich brauche also einfache Lösungen die weder mich, noch den Rest meiner Familie überfordern. Denn ihr dürft nicht vergessen, der WAF Faktor kann erbärmlich zuschlagen (im übertragenen Sinne) und hat schon so manches Projekt zum erliegen gebracht. Und wenn am Ende ihr HomeOffice Arbeitsplatz nicht mehr läuft (welcher im übrigens autark, mit eigenem USB-Drucker läuft), weil irgendwo doppeltes NAT im Spiel ist, oder sonst was in einem tieferen Subnetz nicht klappt, dann zündet man mir ganz schön die Mütze an . Auch mein Sohn will am Ende unbeschwert seinem Spieltrieb nachgehen können.

Letzerer ist übrigen der Hauptgrund, warum ich den ganzen Zirkus hier betreibe. Mein Sohn hat es schon mal geschafft, den DHCP-Server meiner Fritzbox zum überlaufen zu bringen, weil er mit unzähligen Raspberry Pi's, Arduinos, ESP8266'er, Dinge wie Nextcloud, Medienserver, VPN-Server, FreeNAS, 3-D Druckeransteuerungen mit Octoprint, Wetterstationen, IP-Cams, Bitcoin Statusmelder sowie einem Bastel-PC, den er mal als Windows-Server, mal als Ubuntu Server, mal als irgendwas umbaut, ständig mein Netzwerk auslastet. Ihr habt wirklich keine Ahnung, was ich hier alles mitmachen muss. Von daher...

Ich brauche primär also nur zwei Zonen. Eine DMZ, worin mein Sohn (und ich) dann unseren Spieltrieben freien Lauf lassen können und auch mal den ein oder anderen Port weiterleiten können. Zum Anderen brauche ich eine sichere Zone für unser privates Netzwerk mit allem drum und dran. Ein späters Aufsplitten dieses Netzwerkes in HomeOffice, IoT Boliden etc. kann man dann immer noch machen. Toll wäre hier halt nur gewesen, wenn der Drucker aus beiden Segmenten heraus erreichbar gewesen wäre.

Tommes

 

[blurrrr]

Moin!

WebGUI muss man eigentlich kaum dran (nach Ersteinrichtung), wenn legt man vllt noch ein paar VLANs auf bestimmte Ports (un-/tagged), aber das war es im groben ja schon (ab und zu mal ein Firmware-Update vllt noch). Wenn man erstmal durch hat wie das funktioniert (und auch das speichern danach nicht vergisst, damit es einen Reboot überlebt), geht sowas eigentlich relativ zügig von der Hand.

Was das "verständliche" angeht, bin ich ganz bei Dir. Bringt nix, wenn man das ganze Konstrukt selbst nicht mehr durchblickt. Es wäre aber ggf. sinnvoll, wenn Du mindestens 3 Netze baust: Für Dich, die DMZ und ein eigenes Netz für Deinen Sohn, damit er da auch machen kann, was er will. Freigaben für die DMZ (oder ggf. sogar noch eine DMZ für Deinen Sohn) nur auf Anfragen bei Papa (damit Du das noch unter Kontrolle hast)

Es ist übrigens empfehlenswert (und da hatte ich nun schon ein paar Privatpersonen durch), eine vernünftige Doku anzulegen. @rednag z.B. kann da durchaus schon das ein oder andere Liedchen von singen ? Mit dem ganzen neumodischen Spielkram kann die Umgebung halt ziemlich schnell ziemlich wachsen. Ist mir bei Deiner Skizze auch direkt aufgefallen mit dem IoT-Kram (der eigentlich nicht unbedingt in eine DMZ gehört, sondern eher noch in ein extra VLAN (da es ein besonders schützenswerter Bereich ist meiner Meinung nach).

Am besten für die meisten (u.a. auch für mich) ist es da, sich schlichtweg mal Netzpläne (physikalisch + logisch) zu machen, die Portbelegungen (Panel <-> Switch) aufzuschreiben, Netze samt statischen IPs zu notieren, usw. Da entsteht dann schon mal eine kleine "Sammlung", ist zwar etwas Aufwand, hilft aber im Verlauf den Überblick nicht zu verlieren. Pflichtbewusstes dokumentieren jeder Änderungen gehört dann halt eben auch dazu, aber das ist eben so. Alternativ kann man sich auch jedes mal einen Wolf suchen ?

Was den DHCP-Server angeht, so könnte man die Lease-Time auch drastisch reduzieren... führt zwar zu vermehrter DHCP-Kommunikation, aber eine Lease-Time von z.B. 4 oder 8 Stunden dürfte da auch kein Problem darstellen (die Clients fragen dann nach ca. 2/3 der Zeit nach, ob das noch alles so passt). Falls das bei der Fritzbox nicht geht, kannst Du das auch einfach über die pfSense abwickeln.

Ich habe privat irgendwas zwischen 9-12 VLANs laufen (für genauere Info müsste ich auch in die Doku schauen), die Regeln wurden halt einmalig erstellt und seitdem auch nie wieder angefasst. Einmal vernünftig durchdacht, muss man sowas normalerweise auch nicht mehr anfassen, ausser natürlich, es ändert sich irgendwas (LAN des Sohnes darf dann doch auf die IoT-Steuerung zugreifen, oder so z.B.). Ein vernünftiges Regelset hat aber normalerweise schon ziemlich lange Bestand, so dass das halt eigentlich nur einmal vernünftig durchdacht wird und sich dann im späteren Verlauf nur wenig ändert (wenn überhaupt).

Verhält sich im Grunde genommen wie "alles in Kisten packen"... Da wird sich vorher auch überlegt, was in welche Kisten kommt und wer wie auf was Zugriff bekommt (einmalige grundlegende Tätigkeit). Dann wird es entsprechend umgesetzt und danach kommt ggf. noch ein wenig Feintuning. Muss aber halt alles stimmig sein (und ganz wichtig: auch im späteren Verlauf entsprechend nachvollziehbar sein).

NAT auf der pfSense würde ich mir auch völlig knicken, das ist unnötig, da die FB zum Glück statische Routen kann. Habe hier 2 Uplinks und einer der Gummel-ISP-Router kann leider keine statischen Routen (dafür ist das Internet kostenlos gewesen! ?) und da habe ich dann dummerweise Doppel-NAT, ist aber glücklicherweise nur die Fallback-Strippe (10/1 MBit), von daher kann ich da "zur Not" auch noch mit Leben. Durch das nicht vorhandene Doppel-NAT kann man dann auch sämtliche Netze auf die real vorhandenen Netze setzen und muss dann nicht mit irgendwelchen IPs rumhampeln, hinter denen dann wieder sonstwas stecken könnte. So lassen sich mitunter auch Übeltäter im Netz leichter/direkter aufspüren

Das mit dem Drucker würde ich wie gesagt, einfach mal direkt via IP versuchen und auch ruhig mal mit verschiedenen Protokollen versuchen (je nachdem, was der Drucker halt so her gibt).

 

[the other]

Moinsen,
auch wenn es langweilig ist: volle Zustimmung @blurrrr
Und für den cisco brauchste die WEBGUI wirklich nicht mehr, wenn es erstmal läuft, Firmwareupdates gibbets auch nich (EoL).
Ne gute Doku ist (gerne mit screenshots) imho unumgänglich. Habe hier ein Handbuch Netzwerk, eines Raspi, eines NAS und eines KeepassXC für die diversen Passwort, 2fa und Passphrase Geschichten. Das Handbuch Netzwerk hat (mit Bildern und Netzwerktotpografie und Listen) knappe 60 Seiten. Mal abgesehen vom Nachlesen, es hilft (mir zumindest) IMMER, wenn ich versuche, Dinge aus dem Kopf zu beschreiben, dann merke ich wo es noch hängt und was ich mittlerweile verstanden zu haben glaube...
Ich habe hier böses doppeltes NAT, homeoffice mit Zugriff auf Firmen VPN geht trotzdem (Regeln vorausgesetzt), eigenes open VPN auch...ist vielleicht weniger performant und nicht best-practice, lüppt aber.

 

[tschortsch]

Sollte das irgendwie für WINDOWS helfen (wenn keine Routingprobleme vorliegen)
Ich hab über einen Wireguard tunnel 2 Standorte verbunden. Beide haben separete IP Bereiche
An Standort1 hab ich den dortigen Drucker1 installiert (mit IP) und kann auch dort drucken. Wenn ich nun mit dem Laptop an Standort 2 wechsle geht das Drucken nicht mehr, meldet immer offline. Erst nachdem ich ihn extra installiert habe mit der IP klappt auch der Zugriff von Standort 2 auf DruckerStandort1.

 

[blurrrr]

@tschortsch War der Drucker denn auch wirklich initial mit dem IP-Port verbunden, oder hat der Treiber da fröhlich was lokales draus gemacht? Habe das nämlich leider auch schon so erlebt, dass man dem Treiber bei der Installation die IP gegeben hat und der dann fröhlich den lokalen Hostname genommen hat...

@Tommes : Könntest mal hier schauen: Druckverwaltung -> Druckerserver -> Hostname > Anschlüsse, da müsste dann auch stehen, wie Dein Drucker eingebunden ist. Theoretisch sollte es von der Portbeschreibung her "Standard-TCP/IP-Port" sein (Portname dann meist sowas in Richtung "IP_<Drucker-IP>".

 

[tschortsch]

Tatsächlich hat es was mit den Anschlüssen zu tun. Der orignale Drucker ist über den WSD-Anschluss verbunden, wobei ich das so nie aktiv ausgewählt habe. Auch eine Umstellung auf IP brachte damals nix.
Erst die Neuinstallation über die IP machte das Drucken vom Standort 2 möglich.

 

[Tommes]

Nur kurz...
Ich habe heute all meinen Mut zusammengenommen und mein Netzwerk auf produktiven Betrieb umgestellt. So sieht das jetzt im groben aus...

                    ISP
SSID: Homeoffice    |     SSID: Gäste
      |              v           |
      |   .------------------.   |
      '---|  Fritzbox 7590   |---'
          | (VoIP, IoT, DMZ) |  
      ,---| 192.168.178.0/24 |---- LAN (DMZ)
      |   '------------------'
      |
      |                      SSID: Eltern
      |                    ,---------------.
      |      .-------------| 172.16.8.0/24 |
      |      |             '---------------'
      |      |
      |      |                SSID: Kind
      |      |             ,---------------.
      |      |      .------| 172.16.9.0/24 |
     WAN    LAN    OPT     '---------------'
      |      |      |
    .-----------------.         OpenVPN
    | 192.168.178.254 |    ,---------------.
    |     APU.2D4     |----| 10.10.3.0/24  |
    |    (pfsense)    |    '---------------'
    '-----------------'

In der DMZ (also gleich hinter der Fritzbox und somit vor der pfSense) steht nur noch die DS216+. Im Eltern (W)LAN steht neben meiner DS218+ und DS115 und einiger anderer Geräte auch der HP-Drucker. Dementsprechend kann ich jetzt erstmal wieder problemlos drucken. Leider hat mein Sohn dafür jetzt keinen Zugriff mehr auf den Drucker, da er sich im Kind (W)LAN befindet. Auch haben diverse Rules zwischen den beiden Subnetzen in der pfSense keine Abhilfe geschaffen. Aber... die Grundstruktur meines Netzwerks gefällt mir jetzt wesentlich besser und ich bin mit dem Ergebnis sehr zufrieden.

Morgen werde ich mir dann mal die Tipps mit den WSD-Anschluss bzw. die explizite Angabe der IP widmen. Ich habe auch noch ein oder zwei weitere Ideen, wie es vielleicht doch noch hinbekommen könnte. Für heute habe ich aber erstmal die Nase voll. Hab den ganzen Tag daran gebastelt um alle Wege am Patch-Panel von und zu den Switch‘en sowie WLAN-AP’s richtig umzustellen. Ich kann jetzt nicht mehr klar denken, daher melde ich mich erst morgen wieder...

Tommes

 

[Tommes]

Soderle... es hat endlich geklappt. Der Tipp von @tschortsch war ein Volltreffer!

Tatsächlich hat es was mit den Anschlüssen zu tun. Der orignale Drucker ist über den WSD-Anschluss verbunden, wobei ich das so nie aktiv ausgewählt habe. Auch eine Umstellung auf IP brachte damals nix.
Erst die Neuinstallation über die IP machte das Drucken vom Standort 2 möglich.

Bei mir war es ganau so!
Der Drucker war die ganze Zeit über den WSD-Anschluss verbunden. Wieso und weshalb kann ich aber nicht beantworten, da mich das bisher auch noch nie interessiert hat. Die Suche nach dem Drucker war weder über die WebGUI noch am Gerät selber erfolgreich, so lang sich der Drucker in einem anderen Subnetz befand. Befand sich der Drucker hingegen im selben Netz war das alles kein Problem. Ein Umstellen der IP über die WebGUI bzw. am Gerät selber brachte auch nichts bzw. war teilweise garnicht möglich. Ebenso konnte mir der "HP Print and Scan Doctor" auch nicht weiter helfen. Also genau so, wie du schreibst @tschortsch

Erst wärend der Neuinstallation wurde mir, nachdem der Drucker im eigenen Netz nicht gefunden wurde, angeboten, eine IP-Adresse des Druckers anzugeben um zu prüfen, ob dieser erreichbar ist. Scheinbar war er das, denn die Installation wurde erfolgreich abgeschlossen und der Drucker ist nun über das Subnetz erreichbar und das beste: ICH KANN ENDLICH DRUCKEN! Geiler Scheiß! ?

Daher erstmal ein gaaaaaanz dickes Dankeschön an dich @tschortsch und natürlich auch an @blurrrr und @the other für eure Mühen, Tipps und Ratschläge.

Was das "verständliche" angeht, bin ich ganz bei Dir. Bringt nix, wenn man das ganze Konstrukt selbst nicht mehr durchblickt. Es wäre aber ggf. sinnvoll, wenn Du mindestens 3 Netze baust: Für Dich, die DMZ und ein eigenes Netz für Deinen Sohn...

Das habe ich mir zu Herzen genommen und wie oben in dem Schema gezeigt, ja schon umgesetzt. Da die beiden Netze von mir (LAN) und meinem Sohn (OPT) erstmal über eine -Default allow LAN/OPT to any rule - ziemlich blöd da stehen, muss ich mich als nächtes mit dem setzen einiger Rules beschäftigen. Aber das sollte jetzt ja keine Hexerei sein.

Es ist übrigens empfehlenswert ... eine vernünftige Doku anzulegen.

Das ist für mich selbstredend. Aktuell habe ich hier zwar mehrere Zettel, Textdateien sowie einige GoodNotes Kritzeleien rumfliegen, die ich aber langsam mal ins Reine schreiben kann. Neben der Doku habe ich mir aber auch einen ganzen Sack voll Netzwerkkabel in grün (LAN), gelb (OPT) und rot (FRITZ!LAN) bestellt um auch später noch den visuellen Überblick zu haben, wofür dieses oder jenes Netzwerkkabel nochmal war. Leider sind noch nicht alle Kabel da und ich wollte noch meinen Cisco-Switch reaktivieren. Aber wenn mal alles ferig ist, kann ich gerne mal ein paar Bilder einstellen.

Das Handbuch Netzwerk hat (mit Bildern und Netzwerktotpografie und Listen) knappe 60 Seiten.

Der Hammer. Da würde ich genre mal einen Blick reinwerfen. So umfangreich wird meine Doku sicherlich nicht.

Was den DHCP-Server angeht, so könnte man die Lease-Time auch drastisch reduzieren...

Das kann man in den Einstellungen der pfSense ja sehr gut regeln. Ob das in der Fritzbox auch geht, kann ich grad nicht sagen.

NAT auf der pfSense würde ich mir auch völlig knicken, das ist unnötig, da die FB zum Glück statische Routen kann.

Dazu eine Frage. Was genau bringt mir das, wenn ich eine statische Route ins Subnetz LAN bzw. OPT lege? Aktuell habe ich keine statischen Routen vergeben und konnte keinen Nachteil feststellen. Eigentlich bezweckt man damit doch, das die Fritzbox weiß, das es noch weitere Subnetze gibt, richtig? Was würde es mir denn nutzen, wenn ich hier statische Routen vergebe, wenn das Fritzbox Netz doch nur als DMZ dient?

Das mit dem doppelten NAT hat mich anfangs auch ziemlich verunsichert, da man ja immer liest, das doppeltes NAT kacke ist. Es hat lange gedauert bis ich rausgefunden habe, wo man in der pfSense erkennen kann, ob diese NAT'et oder nicht. Nach meinem Verständnis ist NAT auf der pfSense jedenfalls aus.

Ich habe privat irgendwas zwischen 9-12 VLANs laufen

Grrrrr Baby! Sobald ich mal verstanden habe, was dieser blöde Cisco-Switch von mir will, werde ich wohl auch mal VLAN's rumspielen. Aktuell sehe ich da aber noch keinen großen Nutzen für mich. Einzig ist, das ich auf dem Cisco 2 VLAN's einrichten würde, einen für die rote böse DMZ und eins für mein grünes LAN. Mal schauen...

Und für den cisco brauchste die WEBGUI wirklich nicht mehr, wenn es erstmal läuft, Firmwareupdates gibbets auch nich (EoL)

Genau... wenn es erstmal läuft ? ... wenn dann endlich mal alles läuft. ?

Aber ich schnapp mir jetzt mal den Cisco und bastel weiter...

Tommes

 

[blurrrr]

Wenn keine statischen Routen in der FB (und den DMZ-Geräten) sind, ist NAT definitiv auf der pfSense aktiviert, denn ansonsten könnte es garnicht funktionieren. VLANs hinter der pfSense machen schon durchaus Sinn... Mehrere (weniger traffic-lastige) Netze z.B. über 1 Port (z.B. IoT, Drucker, etc.), Uplink am Switch dann mit div. tagged VLANs + ggf. noch ein paar untagged für Geräte die man nicht entsprechend konfigurieren kann/will (bei mir z.B. Cams, Telefone, etc.)

 

[Tommes]

Wenn keine statischen Routen in der FB (und den DMZ-Geräten) sind, ist NAT definitiv auf der pfSense aktiviert, denn ansonsten könnte es garnicht funktionieren.

Wie gesagt... Anwender mit gefährlichen Halbwissen. Demnach werde ich mich weiter in die Thematik einlesen und vertiefen müssen um irgendwann die Zusammenhänge richtig zu verstehen. Bis dahin kann ich nur für mich festhalten, das mein Netzwerk augenscheinlich das tut, was soll. Egal ob mit oder ohne doppelten NAT. Der Grundstein ist erstmal gelegt und darauf lässt sich aufbauen, denn wie pflege ich immer zu sagen: Der Weg ist das Ziel!

Tommes

 

[Thonav]

Yeah!! Go for it

 

[the other]

Moinsen.

Der Grundstein ist erstmal gelegt und darauf lässt sich aufbauen, denn wie pflege ich immer zu sagen: Der Weg ist das Ziel!

Super, dass du es gelöst bekommen hast. Und für mich genau die richtige Einstellung. Ist ja schließlich am Ende das Hobby und nicht ein Betrieb, der davon abhängt...

Bau dir mal in Ruhe die VLANs auf, mach ein paar screenshots und schwupps haste auch deine 50 Seiten beisammen

 

[blurrrr]

Also dann mit Doppel-NAT ?? Warum das so ist? Weil nur Teilnehmer "innerhalb" eines Netzes (ohne Extras wie Client-Isolation, etc.) miteinander reden können und ansonsten wird der Krempel zum Standard-Gatway geschickt.

Szenario a) kein NAT, keine statischen Routen

Rechner (172.10.1.100) aus dem LAN schickt ein Paket an die Fritzbox (192.168.178.1) in der DMZ. Paket passiert die pfSense (172.10.1.1), welche das Paket ins Zielnetz (192.168.178.0/24) weiterleitet. Paket kommt an der Fritzbox an....

Kleine erschrockene Pause...: JUNG! Seh ich ja jetzt erst... Wollte grade nochmal Deine Netze schauen (zwecks ordentlicher Beschreibung)... Dein LAN...172.16.8.0/24?! Das ist ein "öffentliches" Netz.... 172.10.1.1 (adsl-172-10-1-1.dsl.sndg02.sbcglobal.net) ? Da haben wir aber nicht richtig aufgepasst/gelesen... das "private" (was vermutlich das Ziel war) bewegt sich im Rahmen von 172.16.0.0-172.35.255.255, 172.10 liegt irgendwie ... davor ?

So... Paket kommt also bei der Fritzbox an vom Absender 172.10.1.100 an. Da sind wir jetzt genau beim Stolperstein. Die Fritzbox kennt das Zielnetz nicht. Was macht sie also mit dem Paket? Richtig, sie leitet es an ihr Standardgateway weiter, denn das wird schon bestimmt wissen, was damit zu tun ist. Im Falle der Fritzbox ist das dummerweise der ISP

Szenario b) mit NAT

Rechner (172.10.1.100) aus dem LAN schickt ein Paket an die Fritzbox (192.168.178.1) in der DMZ. Paket passiert die pfSense (172.10.1.1), diese nimmt jetzt die Sender-Adresse (vom Rechner - 172.10.1.100) und tauscht diese im Paket gegen die eigene WAN-Adresse aus (oder halt die IP, welche die Firewall auf dem entsprechenden Interface hat, über welches das Paket geschickt werden soll), in diesem Fall wäre es dann wohl die 192.168.178.2. Erst danach wir das Paket ins Zielnetz (192.168.178.0/24) weiterleitet. Paket kommt an der Fritzbox an....

nein, dieses mal keine Unterbrechung mehr ?

Die Fritzbox wiederum sieht nun garnicht, dass das Paket vom Rechner kam (172.10.1.100), sondern für die Fritzbox ist der Sender des Paketes die pfSense (mit der IP im gleichen Netz!). Somit kann die Fritzbox die Antwort "direkt" zurück an die pfSense schicken (denn das Ziel liegt im gleichen Netz, somit ist ein Gateway garnicht involviert).

Szenario c) kein NAT, mit statischen Routen

Hier verhält es sich ganz ähnlich wie bei A, nur gibt es hier einen wichtigen Unterschied: Anstatt die Route jetzt nicht zu kennen, wurde der Fritzbox mitgeteilt, dass sich das Netz 172.16.8.0/24 hinter der pfSense verbirgt (Route zu Netz 172.16.8.0/24 via 192.168.178.2 über <Schnittstelle>... das ist jetzt mal vereinfacht ausgedrückt). Bevor die Fritzbox jetzt ein Paket irgendwohin schickt, wird immer erst in die eigene Routing-Tabelle (so heisst dat Ding wo alle Routen drin stehen) geschaut, ob man den Weg evtl. nicht doch kennt. So funktioniert dann übrigens auch das Routing im Internet (immer ans Standardgateway schicken, wenn man keine anderen Routen kennt). Da die Fritzbox das Netz 172.16.8.0/24 nun kennt (dank Eintrag in der Routingtabelle), wird sie das Paket eben nicht mehr an ihr "Standard"-Gateway schicken, sondern an das Gateway (192.168.178.2) von dem sie weiss, dass dieser Router den Weg zum Ziel kennt. Da das Netz direkt an der pfSense anliegt (also nicht noch ein Router dahinter ist), kann die pfSense das Paket dann wieder lokal in ihrem Netz zustellen (und muss an kein weiteres Gateway schicken).

Im Prinzip geht es eigentlich nur darum, den Weg zum Ziel zu kennen. Kennt man ihn nicht, gehen die Pakete immer ans Standardgateway

Die Routingtabelle kannst Du auch für Deinen Rechner prüfen (Eingabeaufforderung "route print -4" z.B. gibt Dir die IPv4-Routen aus). Interessanter (und voller) dürfte aber vermutlich die der pfSense sein (die kannst Du auch über die WebGUI einsehen).

So, hoffe, das war jetzt nicht allzu kompliziert, bei Rückfragen einfach Bescheid geben ??

EDIT: Hat das echt keiner bemerkt mit der 172.10., oder wart ihr alle nur zu höflich??

 

[the other]

Kleine erschrockene Pause...: JUNG! Seh ich ja jetzt erst... Wollte grade nochmal Deine Netze schauen (zwecks ordentlicher Beschreibung)... Dein LAN...172.10.1.0/24?! Das ist ein "öffentliches" Netz.... 172.10.1.1 (adsl-172-10-1-1.dsl.sndg02.sbcglobal.net) ? Da haben wir aber nicht richtig aufgepasst/gelesen... das "private" (was vermutlich das Ziel war) bewegt sich im Rahmen von 172.16-36.x.x, 172.10 liegt irgendwie ... davor ?

EDIT: Hat das echt keiner bemerkt mit der 172.10., oder war ihr alle nur zu höflich??

Moinsen,
ahem, zu höflich natürlich, was soll die Frage...?
Gehe mal kurz in den Hobbykeller und stell mich in die Ecke. Hab an die Wand überm PC schon hundertmal auf Latein vermerkt: Wer lesen kann ist klar im Vorteil (und wer dann noch versteht umso mehr).

 

[Tommes]

Für‘s Protokoll. Da hat sich doch tatsächlich der Fehlerteufel eingeschlichen

Natürlich lautet das Netzwerk nicht 172.10. sondern 172.16. oder um genau zu sein hat mein LAN die 172.16.8.0/24 und OPT die 172.16.9.0/24. In den hier geposteten Skizzen hatte ich zum Schein (wie blöd man manchmal ist) eine andere IP-Range angegeben und dabei garnicht drauf geachtet das eine 172.10. ein öffentliches Netz beschreibt. Sorry, mein Fehler. Ich Seppel.

Das musste ich kurz mal loswerden. Jetzt lese ich mir deinen Beitrag nochmal in Ruhe durch @blurrrr

 

[blurrrr]

Oh, auch nicht schlecht! ? Dann heisst es jetzt "umdenken"!

 

[Tommes]

Ich frag mal einen Mod, ob er die Skizzen vielleicht ändern kann, damit nicht andere in die Falle tappen. Ich selber kann die Beiträge leider nicht mehr korrigieren.

 

[blurrrr]

Ach was, wie sagt der Volksmund "Isso!" Jeder der da rumfummeln will, soll sich halt vorher vernünftig einlesen und jut... Da heisst es dann halt "aufpassen" und nicht einfach nur blind alles nachmachen ?

 

[Tommes]

Ja, stimmt schon. Gemeldet habe ich es trotzdem. Verrückt ist nur, das der Thread hier bereits schon über 700 mal aufgerufen wurde, und keinem ist es aufgefallen. Nur dir... das bestätigt das du ein Vollprofi sowie aufmerksamer Leser bist.